在上一篇博客中,最后有一句话:
回调时不能对登录信息有强制要求.
为什么呢?
按照常规思维,我们会想:如果不要求登录信息,那么任何人都可以确认订单(把订单的状态修改为已支付)了.
这是非常不安全的.
但是,这个接口是第三方异步调用的,无法获取登录信息.
就算你把登录信息存在某个地方(缓存数据库,比如redis),也可能过期.
不安全吗?
安全,因为有验签
下面是一个典型的验签流程:
应用商店支付回调的验签流程如下:
上面的图有点问题:
3次握手:
参考:
应用商店流程:
http://hw1287789687.iteye.com/blog/2268658
http://blog.csdn.net/hw1287789687/article/details/17767201
验签:http://blog.csdn.net/hw1287789687/article/details/45642041